Алекс Экслер - Омерт@. Учебник по информационной безопасности для больших боссов

3. Негодяйские списки

Многие провайдеры ведут так называемые «черные списки» адресов, откуда может валиться спам. Разумеется, это не адреса ящиков (они спамерами почти всегда подделываются), а специальные интернетовские (IP) адреса, которые заслужили плохую репутацию в современном электронном обществе.

4. Стандартные спамерские признаки

Соответствующие спамерские технологии порождают определенные четко улавливаемые признаки: отсутствие в письме поля «От кого», «Кому», несуществующий IP-адрес отправителя и так далее. В нормальных электронных письмах такого не бывает.

5. Графические вложения

Не так давно спамеры, казалось бы, придумали, как навсегда обмануть фильтры – стали рассылать рекламные тексты в виде графических файлов, которые невозможно проанализировать обычными методами. Однако доблестные программисты весь этот атом направили на мирные цели – разработали хорошие алгоритмы (так называемая «технология нечетких сравнений»), позволяющие как раз весьма эффективно идентифицировать подобные уловки как спам, не смешивая их с честными графическими файлами – картинками, сканами документов и фотографий девушек с торчащими грудями.

6. Спамерские трюки

Еще один традиционный спамерский способ – пытаться обмануть фильтры путем включения в текст рекламного письма бессмысленного набора символов или кусков из стихотворений Пушкина. На самом деле эти трюки легко отслеживаются и наоборот – в первую очередь свидетельствуют о спаме.

Как уже говорилось, работает это все в комплексе. Нельзя отбрасывать письмо, например, только при наличии в нем фразы «Только у нас» или слова «Приобретите» - это приведёт к большому количеству ложных срабатываний. Поэтому фильтр работает весьма интеллектуально. Он составляет оценку каждого письма, анализируя его по целому ряду вышеперечисленных признаков. В результате получается так называемый весовой коэффициент, величина которого, грубо говоря, позволяет отнести письмо к одной из следующих категорий:

Не спам

Вероятно, спам

Точно спам

Кроме того, фильтр может быть персонально обучаемым – то есть ты сам объясняешь ему, что именно ты считаешь спамом, а что нет. (Особенно это полезно в случаях почты, которая определяется как вероятный спам или рассылок, которые стали тебе неинтересны, отправлены в историю, но продолжают насильственно появляться на твоём экране.)

Что делать с категориями «вероятно, спам» и «точно спам» - ты решаешь сам. То, что не на 100% определяется как спам – требует рассмотрения и анализа. То, что фильтр с высокой долей достоверности считает спамом – можно, не глядя, откидывать в специальную папку. В дальнейшем, если вдруг ты забеспокоишься, что все никак не приходит очень важное для тебя письмо от некоего человека, можно поискать в этой папке – а вдруг это письмо случайно туда попало…

Используй то, что под рукой…

Где взять эти фильтры? Как их настраивать и как использовать?.. Есть разные способы: персональные и корпоративные.

Персональные средства

Завести ящик на каком-нибудь публичном сервисе электронной почты, где используются подобные методы фильтрации спама (например, Mail.ru, Yandex.ru).

Способ на самом деле не сильно хороший, потому что все эти бесплатные почтовые сервисы – тот же сыр, только в мышеловке. К тому же, почтовый ящик на публичном сервере не имеет вообще никакого отношения к понятию безопасности информации. Его можно использовать разве что для пустой болтовни или осмысленного флирта, более ни для чего.

Воспользоваться специальным сервисом переадресации, через который будет пропускаться и тестироваться твоя почта (например, Spamtest.ru).

Такой способ более предпочтителен, потому что физически почта хранится на твоем почтовом ящике, а через Spamtest (или аналогичный сервис) просто будет пропускаться на предмет оценивания «спам – не спам». Тем не менее ваша почта будет проходить через «чужой» сервер, а это не очень хорошо и с точки зрения безопасности, и с точки зрения надёжности – ведь чем больше промежуточных этапов, тем выше опасность потерять информацию.

Поставить фильтр непосредственно на твой почтовый клиент.

Это лучше всего с точки зрения безопасности, однако наименее эффективно с точки зрения фильтрации. Потому что комплексные антиспамерские фильтры пока не выпускаются в качестве приложений для персонального использования. Конечным пользователям остается что-то одно – или фильтр, в основном использующий «чёрные списки» (весьма криво работающий, потому что «чёрные списки» - штука совершенно неэффективная и должна использоваться в качестве оценки уровня достоверности «спам - не спам», а не в качестве фильтра), либо же что-нибудь вроде так называемого байесовского фильтра. Кстати, байесовский фильтр – это, пожалуй, наиболее эффективное средство для персонального использования. Этот фильтр сначала нужно «обучить» - то есть объяснить, что именно ты считаешь спамом, а что нет (для этого придется накопить определенную базу спамерских писем, ну или позаимствовать её у кого-нибудь), после чего фильтр будет показывать весьма неплохие результаты в отслеживании спама. Впрочем, комплексным методам он все равно уступает…

Поэтому, конечно, наилучшим средством фильтровать спам является корпоративный подход.

Корпоративный способ

Собственно, тут все очень просто. Мы предполагаем, что в твоей корпорации (фирме, концерне, конторе) есть собственный почтовый сервер, потому что его не может не быть в современных условиях. После этого от твоего админа требуется установить на этот почтовый сервер какую-нибудь фильтрующую систему поэффективнее. Ну да, она стоит денег, но вовсе не смертельных, уверяю тебя.

Работает такой фильтр следующим образом… Он проверяет всю входящую корпоративную почту и помечает ее специальными скрытыми значками: спам, вероятный спам и не спам. При этом фильтр примерно раз в час через Интернет опрашивает сайт разработчиков, чтобы пополнить свою распознавательную базу – получает новые образцы, оповещения о видах сегодняшних массовых рассылок и так далее. То есть следит за актуальностью своих механизмов отслеживания (практически так же, как и антивирус).

Что делать с письмами, помеченными как спам, – зависит от политики конторы. Если у фильтра почти не бывает ложных срабатываний, тогда убивать эти письма к чёртовой матери. Но обычно рекомендуется не убивать письма, помеченные как спам, а всё-таки складывать их в специальную папочку – чтобы, как я уже говорил, при необходимости иметь возможность поискать там долгожданное письмо.

Спам-скам-шардам